Cookie 和 Session 是 Web 應(yīng)用程序中用于保持用戶(hù)狀態(tài)的兩種常見(jiàn)機(jī)制，它們之間既有聯(lián)系也有區(qū)別。

Cookie 是由服務(wù)器在 HTTP 響應(yīng)中發(fā)送給客戶(hù)端（通常是瀏覽器）的一小段數(shù)據(jù)。客戶(hù)端將這些信息保存在本地，并在后續(xù)的請(qǐng)求中自動(dòng)將其發(fā)送回服務(wù)器。

而 Session 是在服務(wù)器端創(chuàng)建的一種機(jī)制，用于跟蹤用戶(hù)的會(huì)話(huà)狀態(tài)。服務(wù)器會(huì)給每個(gè)用戶(hù)分配一個(gè)唯一的會(huì)話(huà) ID，并將該 ID 通過(guò) Cookie 或其他方式傳遞給客戶(hù)端。客戶(hù)端隨后在請(qǐng)求時(shí)攜帶會(huì)話(huà) ID，服務(wù)器根據(jù)這個(gè) ID 從內(nèi)存或數(shù)據(jù)庫(kù)中檢索與該用戶(hù)相關(guān)的會(huì)話(huà)數(shù)據(jù)。

1.Cookie和Session的關(guān)系

嚴(yán)格意義上來(lái)說(shuō)，Cookie 和 Session 是沒(méi)有任何關(guān)系的，但 Session 的實(shí)現(xiàn)中借助了 Cookie 機(jī)制。

通過(guò)以下 Session 執(zhí)行的機(jī)制，我們就能知道 Session 是如何借助 Cookie 完成自己的執(zhí)行流程的：

• 會(huì)話(huà)創(chuàng)建：通常情況下，當(dāng)用戶(hù)登錄成功后，服務(wù)器會(huì)為該用戶(hù)創(chuàng)建一個(gè)新的會(huì)話(huà)。在創(chuàng)建會(huì)話(huà)過(guò)程中，服務(wù)器會(huì)為該會(huì)話(huà)生成一個(gè)唯一的標(biāo)識(shí)符，通常稱(chēng)為 Session ID。
• Session ID 傳遞：服務(wù)器將生成的 Session ID 通過(guò)響應(yīng)的方式發(fā)送給客戶(hù)端，使用 SetCookie 命令，將用戶(hù)的 Session ID 保存在 Cookie 中，通常是一個(gè)名為 JSESSIONID 的 Cookie。
• Session 數(shù)據(jù)存儲(chǔ)：在服務(wù)器端，Session 數(shù)據(jù)會(huì)被存儲(chǔ)在一個(gè)能夠關(guān)聯(lián) Session ID 的數(shù)據(jù)結(jié)構(gòu)中（例如內(nèi)存、數(shù)據(jù)庫(kù)或者文件存儲(chǔ)等）。常用的方式是將 Session ID 作為鍵，與對(duì)應(yīng)的 Session 用戶(hù)身份數(shù)據(jù)進(jìn)行關(guān)聯(lián)。
• Session ID 驗(yàn)證與檢索：當(dāng)用戶(hù)發(fā)送一個(gè)新的請(qǐng)求時(shí)，客戶(hù)端會(huì)將之前存儲(chǔ)的 Session ID 攜帶在請(qǐng)求的 Cookie 或請(qǐng)求頭中發(fā)送給服務(wù)器。服務(wù)器會(huì)根據(jù) Session ID 找到對(duì)應(yīng)的 Session 數(shù)據(jù)，從而獲得用戶(hù)的狀態(tài)信息。
• Session 數(shù)據(jù)使用：服務(wù)器在獲取到 Session 數(shù)據(jù)后，可以根據(jù)具體需求讀取、修改或刪除其中保存的狀態(tài)信息。服務(wù)器可以通過(guò) Session 來(lái)管理用戶(hù)的登錄狀態(tài)、購(gòu)物車(chē)內(nèi)容、用戶(hù)配置等。
• Session 過(guò)期與銷(xiāo)毀：Session 有一個(gè)有效期限，一般通過(guò)設(shè)置一個(gè)固定的時(shí)間，或者在一定時(shí)間內(nèi)沒(méi)有用戶(hù)活動(dòng)時(shí)會(huì)將 Session 標(biāo)記為過(guò)期。當(dāng) Session 過(guò)期時(shí)，服務(wù)器會(huì)銷(xiāo)毀對(duì)應(yīng)的 Session 數(shù)據(jù)，釋放內(nèi)存或其他資源。

所以默認(rèn)情況下，Session 是借助 Cookie 來(lái)完成身份標(biāo)識(shí)的傳遞的，這樣服務(wù)器端才能根據(jù) Session ID 和保存的會(huì)話(huà)信息進(jìn)行關(guān)聯(lián)，用于找到某個(gè)具體登錄的用戶(hù)，所以說(shuō)：默認(rèn)情況下，Session 機(jī)制是依賴(lài) Cookie 實(shí)現(xiàn)的。

2.禁用Cookie后Session還能用嗎？

那么問(wèn)題來(lái)了，禁用 Cookie 后 Session 還能用嗎？

答案是：默認(rèn)情況下禁用 Cookie 后，Session 是無(wú)法正常使用的。

“

這是因?yàn)榇蠖鄶?shù) Web 服務(wù)器都是依賴(lài)于 Cookie 來(lái)傳遞 Session 的會(huì)話(huà) ID 的。客戶(hù)端瀏覽器禁用 Cookie 時(shí)，服務(wù)器將無(wú)法把會(huì)話(huà) ID 發(fā)送給客戶(hù)端，客戶(hù)端也無(wú)法在后續(xù)請(qǐng)求中攜帶會(huì)話(huà) ID 返回給服務(wù)器，從而導(dǎo)致服務(wù)器無(wú)法識(shí)別用戶(hù)會(huì)話(huà)。

”

但是，默認(rèn)情況下禁用 Cookie 后，Session 就不能用了，但可以通過(guò)一些手段來(lái)解決這個(gè)問(wèn)題。

3.解決方案

以下的兩種解決方案可以繞過(guò) Cookie 繼續(xù)運(yùn)行 Session：

• URL 中攜帶 SessionID：可以通過(guò) URL 重寫(xiě)的方式將 Session ID 添加到所有的 URL 中。服務(wù)器生成 Session ID 后，將其作為 URL 的一部分傳遞給客戶(hù)端，客戶(hù)端在后續(xù)的請(qǐng)求中將 Session ID 帶在 URL 中。服務(wù)器端需要相應(yīng)地解析 URL 來(lái)獲取 Session ID，并維護(hù)用戶(hù)的會(huì)話(huà)狀態(tài)。
• 隱藏表單字段傳遞 SessionID：將 Session ID 添加到 HTML 表單的隱藏字段中。在每個(gè)表單中添加一個(gè)隱藏的字段，保存 Session ID，客戶(hù)端提交表單時(shí)會(huì)將 Session ID 隨表單數(shù)據(jù)一起發(fā)送到服務(wù)器，服務(wù)器通過(guò)解析表單數(shù)據(jù)中的 Session ID 來(lái)獲取用戶(hù)的會(huì)話(huà)狀態(tài)。
• 這些方法雖然可以在禁用 Cookie 的情況下繼續(xù)使用 Session，但需要在服務(wù)器端進(jìn)行相應(yīng)的代碼修改和配置。但同時(shí)這些手段也帶來(lái)了以下幾個(gè)新問(wèn)題：
• 增加了編碼復(fù)雜度：需要改前端和后端代碼才能繼續(xù)使用 Session 機(jī)制，增加了編碼復(fù)雜度。
• 增加了安全風(fēng)險(xiǎn)：這些替代方法可能會(huì)增加一些安全風(fēng)險(xiǎn)，因?yàn)?Session ID 將以明文形式出現(xiàn)在 URL 或表單中，很容易被第三方劫持和獲取。

小結(jié)

Session 實(shí)現(xiàn)是依賴(lài) Cookie 來(lái)存儲(chǔ)會(huì)話(huà) ID 的，所以默認(rèn)情況下，如果禁用了 Cookie，Session 就不能使用了。

但是我們可以通過(guò)特殊的手段，例如在 URL 中傳遞 SessionID 或表單中使用隱藏字段傳遞 SessionID 的方式，配合服務(wù)器端代碼的修改，是 Session 機(jī)制繼續(xù)使用，但這樣使用增加了編碼的復(fù)雜度，和帶來(lái)了一定的安全風(fēng)險(xiǎn)。